本文探讨了Android中allowBackup属性的安全影响,指出其可能导致隐私数据泄露。当allowBackup设置为true时,攻击者可能利用adb backup和adb restore获取应用数据。特别是通讯录和金融应用,备份数据可能引发严重的信息安全问题。建议开发者将其设置为false以关闭备份功能。此外,文章还介绍了非root设备获取隐私数据的方法以及如何恢复备份数据。
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大
少走了弯路,也就错过了风景,无论如何,感谢经历
0x01 前言
Android关于AndroidManifest.xml中的allowBackup属性是是否允许用户备份或者恢复数据,而开发者在使用IDE工具开发的时候自动生成代码,而这个属性的值会被设置成true,会直接导致隐私数据的丢失
需要注意:
- Android 6.0之前Backup功能只有键值对备份(Key-value Backup)一种模式,且allowBackup属性默认为false
- Android 6.0之后allowBackup属性默认为true。但打开的不是键值对备份,而是新引入的自动备份(Auto Backup)。自动备份模式执行傻瓜式的全体备份和恢复,可供备份文件存放的空间更大
API > 8提供了应用程序数据的备份和恢复功能,在AndroidManifest.xml文件中可以设置allowBackup属性,当allowBackup属性为true时,可以通过adb backup和adb restore命名对应用数据进行恢复和备份
- allowBackup安全影响范围
Android API Level 8以及以上系统
- allowBackup安全风险详情
- allowBackup风险位置:
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
